一、AppScan概述
AppScan是专门面向Web应用安全检测的自动化工具,是对Web应用和Web Services进行自动化安全扫描的黑盒工具。它不但可以发现和修复Web应用安全隐患的过程,还可根据发现的安全隐患给出针对性的修复建议,并生成详细、标准的报告。
二、AppScan扫描原理
1.通过自动化的“爬虫”技术发现整个 Web 应用结构 (众多页面和页面参数);
2.根据分析,发送修改的 HTTP Request 进行攻击尝试(扫描规则库);
3.通过对于 Respone 的分析验证是否存在安全漏洞;
三、AppScan提供四种类型的扫描
1.Web应用程序扫描:提供具有起始URL和登录凭证的AppScan,以便测试站点。若有必要,可手动搜寻站点,为AppScan提供对只能通过特定用户输入来搜寻的区域的访问权。
2.Web Service扫描:集成的Rational工具GSC会创建一个接口,用于显示可用的服务,并允许输入参数和查看结果。该过程通过AppScan来记录并用来针对服务创建测试。
3.使用外部客户机扫描:使用移动设备、浏览器或其他客户机进行浏览,并用appscan作为代理。
4.增量扫描:使用增量扫描仅测试应用程序的新内容。
四、AppScan扫描包含两个阶段:探索和测试
1.探索阶段:AppScan将探索站点(Web Service、应用程序),方法是:模拟Web用户 单击链接并填写表单字段。它将分析响应,以查找潜在漏洞的指示,并使用这些响应来 创建测试请求。探索行为具有高度的可配置性,可使用 “扫描专家”进行优化。
2.测试阶段:AppScan将发送在探索过程中所创建的数以千计的定制测试请求。它将记录 和分析应用程序的响应,用以标识安全性问题并对这些问题的安全性风险级别进行评级。
完成探索和测试的第一阶段后,AppScan会自动开始新的阶段,以处理测试阶段中发现的任何新的信息。完成了已配置数量的扫描阶段后,扫描将结束。
五、AppScan安装
- 应用版本:AppScan_Std_10.0.3
- 文件主要包括两个包:一个安装包、一个破解包
- 选择安装包开始安装(建议:采用默认路径安装)
- 选择中文,点击“确定”
- 勾选“我已阅读并接受许可条款”点击“安装”
- 建议不更改安装路径,采用默认路径安装
- 安装成功后,点击“完成”
- 安装完成之后把AppScan破解文件中的AppScanSDK.dll和HclLicenseProvider.dll文件复制粘贴到安装路径,替换原有的文件,即可完成破解
六、扫描流程
1.新建扫描任务–选择扫描类型
- 扫描类型的选择,打开AppScan工具,点击“新建”,会弹出一个扫描类型选择框,根据需要选择,一般选择“扫描Web应用程序”
- 若只对Web程序本身的漏洞检测,就选Web 应用程序扫描即可;
- 若需要对Web服务进行扫描,则选择Web Service;
- 如果选择Web Service扫描,则需提前告知服务器维护的负责人,建立异常情况发生的处理机制,最好避开访问请求的高峰or办公人员集中使用的时间,比如下班后自动扫描;
- 若需要使用Web Service扫描功能,需要提前下载安装好GSC Web Services记录器;
- 若只对应用程序新增内容进行扫描,则选择增量扫描。
2.新建扫描任务—输入起始URL
- 下一步会进入扫描配置向导,输入“起始URL(appscan测试网址:https://demo.testfire.net)
3.新建扫描任务–选择登录方法
- 进入登录管理,因为有些页面需要登录后才能做有效的扫描,这里记录的是登录所需信息,便于扫描时能登录应用程序。总共有4种方法,比较常用的是“记录”和“自动”
- 若登录方法选择“记录”,则可通过界面右侧的“记录(R)”按钮打开APPScan内置浏览器并输入登录信息,内置浏览器会自动关闭,AppScan即可记录该用户名和密码,扫描的时候相当于是已登录此账户的状态进行扫描;
- 若选择“提示”,则根据网站扫描探索过程中需要登录会提示输入登录信息,人工输入正确的账号信息之后继续扫描;
- 若选择“自动”,则填写用户名和密码,APPScan在扫描过程中,会自动使用用户名和密码登录继续扫描;
- 若选择“无”,则不需输入登录账户。
- 登录方法选择记录,点击推荐浏览器,打开的登录页面中输入用户名和密码,登录成功后点击“我已登录到站点”
- 点击“我已登录到站点”后,工具开始进行登录序列的分析
- 分析完成登录序列后,页面显示已成功配置登录
4.新建扫描任务–选择测试策略
- 选择适当的测试策略,一般保持默认选择,即“缺省值”
5.新建扫描任务–选择测试优化
- 选择适当的测试优化,一般保持默认选择,即“快速”
6.新建扫描任务–设置启动模式
- 根据实际需要选择,点击“完成”,即可开始启动扫描
- 启动扫描:探索的同时,也进行攻击测试;
- 仅使用自动探索启动:自动探索网站的目录结构,可被测的链接范围及数目,不作实际攻击测试;
- 使用手动探索启动:先通过AppScan内置浏览器打开被测网站,手动点击不同的目录页面,然后AppScan记录之;
- 我将稍后启动扫描:先把此次网站的扫描配置进行保存,后续若想扫描的时候再继续操作。
7.其他扫描配置—排除路径和文件
- 根据需要排除一些路径(如登出URL)和文件(如静态页面)
8.其他扫描配置—通信和代理
- 根据实际情况,设置扫描的线程数和超时时间,从而减低扫描速度,减少对应用服务器造成过高负载
9.其他扫描配置—测试策略
- 扫描策略是用默认的,如果要特殊的配置,可按实际勾选需要的,或者只想扫描某一块的信息。这里显示了所有策略分类
七、手动探索
- 手动探索可以更好的针对每个模块进行请求抓取,抓取后针对每个请求进行漏洞扫描
八、扫描测试
- 根据实际情况,点击扫描,第一次扫描建议选择完全扫描
九、扫描进行中
十、分析结果
- 扫描结果分为三个模块:应用程序的应用链接、扫描出来的安全问题、问题分析及修复建议
- 问题信息:给出了选定的漏洞详细信息,显示具体的URL和与之相关的安全风险
- 咨询:可以找到问题的技术说明,受影响的产品,以及参考链接
- 修订建议:给出该安全问题的修订建议
十一、创建报告
- 在分析结束之后,可以针对所有确定的结果进行生成报告,其中包括为了解决问题需要遵循的补救措施的报告,报告是可以根据需求进行定制的
原创文章,作者:奋斗,如若转载,请注明出处:https://blog.ytso.com/270659.html